怎樣在Apache上安裝MOD_SSL

日期:2008-07-02  作者:喜騰小二  來源:PHPChina


手工簽署憑證的方法


雖然在安裝MOD_SSL時已經使用 make certificate 指令建立了伺服器
的憑證簽章,但是有時妳可能需要改變它。

當然有很多自動的指令檔可以實現它,但是最可靠的方法是手工簽署
憑證。

首先我假定妳已經安裝好了openssl和MOD_SSL,如果妳的openssl安裝時
的prefix設定為/usr/local/openssl,那麼把/usr/local/openssl/bin加入
執行檔案尋找路徑。還需要MOD_SSL源程式碼中的一個指令檔,它在MOD_SSL的
源程式碼目錄樹下的pkg.contrib目錄中,檔案名為 sign.sh。
將它拷貝到 /usr/local/openssl/bin 中。

先建立一個 CA 的憑證,
首先為 CA 建立一個 RSA 私用金鑰,
[S-1]
openssl genrsa -des3 -out ca.key 1024
係統提示輸入 PEM pass phrase,也就是密碼,輸入後牢記它。
生成 ca.key 檔案,將檔案內容改為400,並放在安全的地方。
[S-2]
chmod 400 ca.key
妳可以用下列指令檢視它的內容,
[S-3]
openssl rsa -noout -text -in ca.key

利用 CA 的 RSA 金鑰建立一個自簽署的 CA 憑證(X.509結構)
[S-4]
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
然後需要輸入下列資訊:
Country Name: cn 兩個字母的國家代號
State or Province Name: An Hui 省份名稱
Locality Name: Bengbu 城市名稱
Organization Name: Family Network 公司名稱
Organizational Unit Name: Home 部門名稱
Common Name: Chen Yang 妳的姓名
Email Address: sunstorm@263.net Email地址
生成 ca.crt 檔案,將檔案內容改為400,並放在安全的地方。
[S-5]
chmod 400 ca.crt
妳可以用下列指令檢視它的內容,
[S-6]
openssl x509 -noout -text -in ca.crt

下麵要建立伺服器憑證簽署請求,
首先為妳的 Apache 建立一個 RSA 私用金鑰:
[S-7]
openssl genrsa -des3 -out server.key 1024
這裡也要設定pass phrase。
生成 server.key 檔案,將檔案內容改為400,並放在安全的地方。
[S-8]
chmod 400 server.key
妳可以用下列指令檢視它的內容,
[S-9]
openssl rsa -noout -text -in server.key

用 server.key 生成憑證簽署請求 CSR.
[S-10]
openssl req -new -key server.key -out server.csr
這裡也要輸入一些資訊,和[S-4]中的內容類似。
至於 'extra' attributes 不用輸入。

妳可以檢視 CSR 的細節
[S-11]
openssl req -noout -text -in server.csr

下麵可以簽署憑證了,需要用到指令檔 sign.sh
[S-12]
sign.sh server.csr
就可以得到server.crt。
將檔案內容改為400,並放在安全的地方。
[S-13]
chmod 400 server.crt

移除CSR
[S-14]
rm server.csr


最後apache設定
如果妳的apache編譯參數prefix為/usr/local/apache,
那麼拷貝server.crt 和 server.key 到 /usr/local/apache/conf
修改httpd.conf
將下麵的參數改為:
SSLCertificateFILE /usr/local/apache/conf/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/server.key

可以 apachectl startssl 試一下了。

<<<返回技術中心

技術文章

站內新聞

我要啦免费统计